de en
Nexia Ebner Stolz

Rechtsberatung

Standardvertragsklauseln bei Auftragsverarbeitern in Drittländern

EuGH, C-311/18: Schlussanträge des Generalanwalts vom 19.12.2019

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig.

Hin­ter­grund:
Die Daten­schutz-Grund­ver­ord­nung (Ver­ord­nung (EU) 2016/679 - DSGVO) sieht wie die Richt­li­nie über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (Richt­li­nie 95/46/EG), an deren Stelle sie get­re­ten ist, vor, dass per­so­nen­be­zo­gene Daten an ein Dritt­land über­mit­telt wer­den kön­nen, wenn die­ses für die Daten ein ange­mes­se­nes Schutz­ni­veau sicher­s­tellt. Liegt kein Beschluss der Kom­mis­sion vor, mit dem die Ange­mes­sen­heit des Schutz­ni­ve­aus im betref­fen­den Dritt­land fest­ge­s­tellt wird, darf der für die Ver­ar­bei­tung Ver­ant­wort­li­che die Über­mitt­lung den­noch vor­neh­men, wenn er sie mit geeig­ne­ten Garan­tien ver­sieht. Diese Garan­tien kön­nen u. a. die Form eines Ver­trags zwi­schen dem Expor­teur und dem Impor­teur der Daten anneh­men, der die in einem Beschluss der Kom­mis­sion vor­ge­se­he­nen Stan­dard­da­ten­schutz­klau­seln ent­hält. Mit dem Beschluss 2010/87/EU3 hat die Kom­mis­sion Stan­dard­ver­trags­klau­seln für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter in Dritt­län­dern fest­ge­legt. Die vor­lie­gende Rechts­sa­che betrifft die Gül­tig­keit die­ses Beschlus­ses.

Der Sach­ver­halt:
Zur Vor­ge­schichte des Aus­gangs­rechts­st­reits gehört ein Ver­fah­ren, das von Maxi­mi­lian Sch­rems, einem öst­er­rei­chi­schen Nut­zer von Face­book, ein­ge­lei­tet wurde und bereits zum Urteil des EuGH vom 6.10.2015 (C-362/14 - Urteil Sch­rems) geführt hat.

Die Daten der in der Union wohn­haf­ten Nut­zer von Face­book wie Herr Sch­rems wer­den von Face­book Ire­land, der iri­schen Toch­ter­ge­sell­schaft der Face­book Inc., ganz oder teil­weise an Ser­ver in den USA über­mit­telt und dort ver­ar­bei­tet. 2013 hatte Herr Sch­rems bei der für die Über­wa­chung der Anwen­dung der Vor­schrif­ten über den Schutz per­so­nen­be­zo­ge­ner Daten zustän­di­gen iri­schen Behörde (Kon­troll­s­telle) eine Beschwerde ein­ge­legt, mit der er gel­tend machte, dass ange­sichts der von Edward Snow­den ent­hüll­ten Tätig­kei­ten der Nach­rich­ten­di­enste der USA (ins­be­son­dere der NSA) das Recht und die Pra­xis der USA kei­nen aus­rei­chen­den Schutz der in die­ses Land über­mit­tel­ten Daten vor den Über­wa­chung­s­tä­tig­kei­ten der Behör­den gewähr­leis­te­ten. Die Kon­troll­s­telle wies die Beschwerde u. a. mit der Begrün­dung zurück, dass die Kom­mis­sion in ihrer Ent­schei­dung vom 26.7.2000 (Ent­schei­dung 2000/520/EG der Kom­mis­sion) ange­nom­men habe, dass die USA im Rah­men der sog. "Safe-Har­bor-Rege­lung" (umfasst eine Reihe von Grund­sät­zen über den Schutz per­so­nen­be­zo­ge­ner Daten, deren Ein­hal­tung für Unter­neh­men frei­wil­lig ist) ein ange­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­gene Daten gewähr­leis­te­ten.

Mit dem Urteil Sch­rems hat der EuGH in Beant­wor­tung einer Frage des Hohen Gerichts­hofs in Irland die Safe-Har­bor-Ent­schei­dung für ungül­tig erklärt. Im Anschluss an das Urteil Sch­rems erklärte das vor­le­gende Gericht die Ent­schei­dung, mit der die Kon­troll­s­telle die Beschwerde von Herrn Sch­rems zurück­ge­wie­sen hatte, für nich­tig und ver­wies sie zur Prü­fung zurück an die Kon­troll­s­telle. Diese lei­tete eine Unter­su­chung ein und for­derte Herrn Sch­rems auf, seine Beschwerde in Anbe­tracht der Ungül­ti­ger­klär­ung der Safe-Har­bor-Ent­schei­dung neu zu for­mu­lie­ren. Zu die­sem Zweck bat Herr Sch­rems Face­book Ire­land um Angabe der Rechts­grund­la­gen, auf denen die Über­mitt­lun­gen der per­so­nen­be­zo­ge­nen Daten der Nut­zer von Face­book aus der Union in die USA beruh­ten. Face­book Ire­land ver­wies auf ein Daten­über­tra­gungs- und -ver­ar­bei­tungs­ab­kom­men (data trans­fer pro­ces­sing agree­ment) mit der Face­book Inc., das seit dem 20.11.2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In sei­ner neu for­mu­lier­ten Beschwerde machte Herr Sch­rems zum einen gel­tend, dass die in dem Abkom­men ent­hal­te­nen Klau­seln nicht den Stan­dard­ver­trags­klau­seln des Beschlus­ses 2010/87 ent­sprächen, und zum ande­ren, dass diese Stan­dard­ver­trags­klau­seln jeden­falls keine Grund­lage für die Über­mitt­lung sei­ner per­so­nen­be­zo­ge­nen Daten in die USA sein könn­ten. Es gebe näm­lich kei­nen Rechts­be­helf, mit dem die Betrof­fe­nen in den USA ihre Rechte auf Ach­tung des Pri­vat­le­bens und auf Schutz der per­so­nen­be­zo­ge­nen Daten gel­tend machen könn­ten. Herr Sch­rems bean­tragte daher bei der Kon­troll­s­telle, diese Über­mitt­lung in Anwen­dung des Beschlus­ses 2010/87 aus­zu­set­zen.

Mit ihrer Unter­su­chung wollte die Kon­troll­s­telle fest­s­tel­len, ob die USA einen ange­mes­se­nen Schutz für per­so­nen­be­zo­gene Daten der Uni­ons­bür­ger sicher­s­tel­len und - sollte dies nicht der Fall sein - ob der Rück­griff auf Stan­dard­ver­trags­klau­seln aus­rei­chende Garan­tien für den Schutz ihrer Grund­f­rei­hei­ten und Grund­rechte bie­tet. Da die Kon­troll­s­telle zu dem Ergeb­nis kam, dass die Bear­bei­tung der Beschwerde von Herrn Sch­rems von der Frage abhänge, ob der Beschluss 2010/87 gül­tig sei, lei­tete sie beim High Court ein Ver­fah­ren ein, damit die­ser den EuGH hierzu befrage. Der High Court ist dem Antrag die­ser Behörde auf Vor­lage eines Ersu­chens um Vor­a­b­ent­schei­dung nach­ge­kom­men.

Die Gründe:
Gene­ral­an­walt Hen­rik Saug­mands­gaard Øe schlägt dem EuGH vor, zu ant­wor­ten, dass die Prü­fung der Fra­gen nichts erge­ben habe, was die Gül­tig­keit des Beschlus­ses 2010/87 beein­träch­ti­gen könnte.

Im Aus­gangs­rechts­st­reit geht es nur um die Fest­stel­lung, ob der Beschluss 2010/87 gül­tig ist, mit dem die Kom­mis­sion die Stan­dard­ver­trags­klau­seln fest­ge­legt hat, die für die in der Beschwerde von Herrn Sch­rems genann­ten Über­mitt­lun­gen gel­tend gemacht wor­den sind. Das Uni­ons­recht ist auf Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in ein Dritt­land anwend­bar, wenn diese Über­mitt­lun­gen zu gewerb­li­chen Zwe­cken erfol­gen, auch wenn die über­mit­tel­ten Daten durch Behör­den die­ses Dritt­lands für Zwe­cke der natio­na­len Sicher­heit ver­ar­bei­tet wer­den kön­nen. Zudem bezwe­cken die Bestim­mun­gen der DSGVO über Über­mitt­lun­gen in Dritt­län­der, ein kon­ti­nu­ier­lich hohes Schutz­ni­veau für per­so­nen­be­zo­gene Daten unab­hän­gig davon sicher­zu­s­tel­len, ob die Daten auf der Grund­lage einer Ange­mes­sen­heits­ent­schei­dung oder auf­grund geeig­ne­ter Garan­tien über­mit­telt wer­den, die vom Expor­teur gege­ben wer­den.

Die­ses Ziel wird jedoch je nach der Rechts­grund­lage, die für die Über­mitt­lung gilt, auf unter­schied­li­che Weise erreicht. Einer­seits soll mit einer Ange­mes­sen­heits­ent­schei­dung fest­ge­s­tellt wer­den, ob ein bestimm­tes Dritt­land auf­grund des dort gel­ten­den Rechts und der dort gel­ten­den Pra­xis für die Grund­rechte der Per­so­nen, deren Daten über­mit­telt wer­den, ein Schutz­ni­veau sicher­s­tellt, das dem Niveau, das sich aus der im Licht der Charta der Grund­rechte der Euro­päi­schen Union aus­ge­leg­ten Daten­schutz-Grund­ver­ord­nung ergibt, im Wesent­li­chen gleich­wer­tig ist. Ande­rer­seits müs­sen die vom Expor­teur - ins­be­son­dere ver­trag­lich - gege­be­nen geeig­ne­ten Garan­tien selbst ein sol­ches Schutz­ni­veau sicher­s­tel­len. Die Stan­dard­ver­trags­klau­seln der Kom­mis­sion für Über­mitt­lun­gen sehen inso­weit eine all­ge­meine Rege­lung vor, die unab­hän­gig vom Bestim­mungs­land und dem dort sicher­ge­s­tell­ten Schutz­ni­veau gilt.

Bei der Prü­fung der Gül­tig­keit des Beschlus­ses 2010/87 anhand der Charta ergibt sich, dass der Umstand, dass der Beschluss und die darin ent­hal­te­nen Stan­dard­ver­trags­klau­seln die Behör­den des Dritt­be­stim­mungs­lan­des nicht bin­den wer­den und diese durch ihn somit nicht daran gehin­dert sind, dem Impor­teur Pflich­ten auf­zu­er­le­gen, die mit der Beach­tung die­ser Klau­seln unve­r­ein­bar sind, für sich allein nicht zur Ungül­tig­keit des Beschlus­ses führt. Die Ver­ein­bar­keit des Beschlus­ses 2010/87 mit der Charta hängt davon ab, ob aus­rei­chend wirk­same Rege­lun­gen beste­hen, mit denen sich sicher­s­tel­len lässt, dass die auf die Stan­dard­ver­trags­klau­seln gestütz­ten Über­mitt­lun­gen aus­ge­setzt oder ver­bo­ten wer­den, wenn diese Klau­seln ver­letzt wer­den oder es unmög­lich ist, sie ein­zu­hal­ten. Dies ist dann der Fall, wenn eine Pflicht - der für die Daten­ver­ar­bei­tung Ver­ant­wort­li­chen und, bei deren Untä­tig­keit, der Kon­troll­s­tel­len - besteht, eine Über­mitt­lung aus­zu­set­zen oder zu ver­bie­ten, wenn auf­grund eines Kon­f­likts zwi­schen den sich aus den Stan­dard­ver­trags­klau­seln erge­ben­den Pflich­ten und den durch das Recht des Dritt­be­stim­mungs­lan­des auf­er­leg­ten Pflich­ten diese Klau­seln nicht ein­ge­hal­ten wer­den kön­nen.

Das vor­le­gende Gericht stellt bestimmte Beur­tei­lun­gen der Kom­mis­sion im Beschluss vom 12.7.2016, dem sog. Daten­schutz­schild-Beschluss (Durch­füh­rungs­be­schluss (EU) 2016/1250), indi­rekt in Frage. In die­sem Beschluss hat die Kom­mis­sion fest­ge­s­tellt, dass die USA ein ange­mes­se­nes Schutz­ni­veau für die Daten gewähr­leis­ten, die im Rah­men der mit die­sem Beschluss auf­ge­s­tell­ten Rege­lung aus der Union über­mit­telt wer­den, ins­be­son­dere in Anbe­tracht der Garan­tien, die bzgl. des Zugangs ame­ri­ka­ni­scher Nach­rich­ten­di­enste zu die­sen Daten beste­hen, sowie des Rechts­schut­zes, der Per­so­nen, deren Daten über­mit­telt wer­den, gewährt wird. Für die Ent­schei­dung über den Aus­gangs­rechts­st­reit scheint es nicht erfor­der­lich, dass der EuGH über die Gül­tig­keit des Daten­schutz­schild-Beschlus­ses ent­schei­det, da der Rechts­st­reit nur die Gül­tig­keit des Beschlus­ses 2010/87 betrifft. Gleich­wohl führt der Gene­ral­an­walt hilfs­weise aus, aus wel­chen Grün­den sich für ihn im Hin­blick auf die Rechte auf Ach­tung des Pri­vat­le­bens, auf Schutz per­so­nen­be­zo­ge­ner Daten und auf einen wirk­sa­men Rechts­be­helf Fra­gen bezüg­lich der Gül­tig­keit des Daten­schutz­schild-Beschlus­ses stel­len.

nach oben